静的サイト生成という「古くて新しい手法」の復活 - モジログ
この数年くらいで、主にプログラマのあいだに、「静的サイト生成(static site generation)」への人気が復活しつつあるようだ。 「静的サイト生成」の「静的サイト(static site)」とは、ウェブサイトのすべてのページが、あらかじめHTMLファイルになっているようなウェブサイトを指す。データベースなどを使わず、HTMLファイルを手作業で作っているようなサイトは、すべて「静的サイト」である。 「静的サイト生成」とは、手作りで「静的サイト」を作るのではなくて、HTMLファイルをプログラム的に「生成」する手法を指す。データベースやテキストファイルにある「データ」と、デザインを定義する「テンプレート」をプログラム的に結合して、HTMLページを生成する、というのが典型的な手法だ。この生成プロセスを受け持つソフトウェアが「static site generator」である(以下、こ
Secunia、脆弱性検出ツールにパッチの自動適用機能を搭載へ
サードパーティー製品の脆弱性が急増しているにもかかわらず、パッチ適用が難しいため脆弱性が放置されている現状に対応した。 デンマークのセキュリティ企業Secuniaは2月27日、主要ソフトウェアのパッチを自動的に適用できる脆弱性検出ツール「PSI(Personal Software Inspector)3.0」のβ版をリリースした。 同社によると、Microsoft以外のサードパーティー製品の脆弱性の件数は過去数年で急増し、全体の78%を占めるようになっている。それにもかかわらず、更新の仕組みがそれぞれ異なるため、パッチ適用は難しいのが現状。その結果、脆弱性が修正されないまま放置され、攻撃の格好の標的となっているという。 PSI 3.0ではこの問題に対応するため、主要ソフトウェアにパッチを当てる作業を自動化し、ユーザーが個々のプログラムを手動で更新しなくても済むようにした。一般ユーザーにも使
不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性 - co3k.org
2012/02/15、 JVN から JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年 4 ヶ月後の 2012 年 2 月まで修正版が提供されていなかったものです。 このような危険な状態が長期間続いていたのには、様々な理由があります。ここでは、その説明と、どうすれば事態が防げたかということについて検討したいと思います。 脆弱性の概要 本題に入る前に、主に cforms II のユーザ向けに脆弱性自体の概要についてざっくり説明します。前述のとおり、未修正の状態で exploit コードが公開
iOSのSafariがContent-Dispositionを無視する問題が修正された | 水無月ばけらのえび日記
公開: 2011年10月18日2時25分頃 既に「About the security content of iOS 5 Software Update (support.apple.com)」に出ていますが、JVNの方でも公開されました……「JVN#41657660 iOS 上の Safari におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。 書いてあるまんまですが、iOS上のSafariがContent-Disposition: attachmentの指定を無視するという問題でした。 これを届け出たのは、2010年の8月のことです。9月のCSS Niteでしゃべることになっていたのですが、会場のアップルストアではWindowsマシンの持ち込みが原則禁止となっています。私はMacを持っていないのでどうしようかと思ったのですが、せっかくなので、当時話題だったiPadでプレ
サイバー攻撃から組織を守るための「4つの勇気」
ソニーや三菱重工業など大手企業を標的とするサイバー攻撃が相次いでいる。警察白書によると、サイバー犯罪の検挙件数は年々増加の一途をたどっており、2010年には6933件と、前年より243件増加し過去最多となった。2011年10月13日に放送されたニコニコ生放送「国家の生命線"防衛機密"が流出の危機に!?サイバーテロ最前線」では、情報産業やそのセキュリティに造詣の深い有識者が集まり、サイバー犯罪について議論を交わした。 情報セキュリティ企業ラックの西本逸郎取締役は、大企業を対象とした「サイバースパイ」が関与する事案が恐らく2007年頃から発生していると語る。西本氏によると、大企業へのサイバー攻撃は2段階で行われる。まずは「標的型メール」で内部に不正プログラムを侵入させる。そのプログラムが「ホームページを閲覧するような格好で、犯人側がコントロールするサーバに接続しにいく」という。通常のウェブアク
7万円の高級グラボが中国でバカ売れしている理由 (1/2)
ウルトラハイエンドGPU「Radeon HD 6990」搭載の最強ビデオカード(関連記事)は、今もあまり値下がりすることなく7万円前後で売られている。 日本人でも買うには勇気がいる価格の製品であり、中国人ならなおさらのこと、買うにはハードルが高いのは容易に想像できよう。 実際、7万円だと都市部の住民でも2ヵ月分かそれ以上の給料が必要となる。もちろん、これまで中国ではハイエンドの製品はほとんどのPCユーザーにとって無縁なものであった。 そんなRadeon HD 6990搭載の最強ビデオカードが中国でおそろしいほど売れている。なんでも、電脳街のASUSTeKやGIGABYTEなどのパーツメーカー代理店には、Radeon HD 6990搭載ビデオカードを十個~数十個まとめて購入する客がしばしばやってくるのだとか。 その原因はオンラインゲームセンターと化したインターネットカフェの競争激化でもなけれ
Desktop Email Encryption - Symantec Enterprise
近年、標的型攻撃が劇的に増加しています。大企業、政府機関、政治団体が軒並み標的になったことを報告しています。おおよその目安として、組織が扱う情報の機密性が高いほど、攻撃の標的になる可能性が高くなります。 ここでは、悪質な電子メールの送信元、標的にされる組織、電子メールの送信元ドメイン(なりすましかどうかにかかわりません)、電子メールに添付される悪質なファイルの種類など、標的型攻撃に関する数々の重要な問題への考察を試みます。次の図に示すように、シマンテックが解析したデータによると、標的型メール攻撃は、平均して増加傾向にあります。 図 1. 標的型攻撃の傾向 送信元 この解析では、まず電子メールの送信元を確認しました。電子メールは、全世界中 91 カ国にわたり 6,391 個の一意の IP から発信されていました。シマンテックが持つ標本データセットによると、電子メールを用いた攻撃の地域別内訳は
iPadのパスワードをショルダーハック - B L A C K O U T
ショルダーハックという言葉を聞いて「懐かしい」と思われるユーザーもいるかもしれない。もう二十年近く前の言葉だろうか。ショルダーハックとは、肩越しにターゲットを覗き見して、情報(たとえば、Windowsのログオンパスワードや銀行ATMの暗証番号など)を入手する古典的なハッキングテクニックである。 先日、このショルダーハックを利用して、iPadやiPhoneなどのオンスクリーンキーボードで入力されたパスワードを推定する「shoulderPad」と名付けられたソフトウェアのデモ動画がアップされた。 iPadやiPhoneでは、入力されたパスワード自体はアスタリスクで表示されるため、そのまま覗き見しても何を入力したかはわからない。脆弱性があるといえるのは、オンスクリーンキーボードである。オンスクリーンキーボードは、各キーを入力した後に青色で光るため認識しやすい。 そこで、このテスト動画をアップして
あらゆるドラッグが買えるアングラサイトと追跡不能なP2P通貨Bitcoin
あらゆるドラッグが買えるアングラサイトと追跡不能なP2P通貨Bitcoin2011.06.28 19:0048,137 satomi 大麻の売人と喋るのは嫌なものだしコカイン買ったら銃で撃たれそうだし―でも本や電球みたいにドラッグもネット売買できるとしたらどうだろう? 今や「Silk Road(シルクロード)」というサイトでそれが可能になった。 アメリカ合衆国郵便公社(USPS)の郵便配達がマークの戸口にそれを届けてくれたのは5月のこと。一見何の変哲もない封筒。開けてみると中には小さなプラスティックの袋にLSDが10粒入っていた。 「あれは開けても、探してる人でもない限り絶対見落としちゃうだろうね」 マークは電話取材でその知られざる実態を詳しく話してくれた―。 マークはソフトウェア開発者だ。オンラインのマーケットプレイス「Silk Road」でリスティング(売り広告)を見て、アシッド(LS
yebo blog: シマンテックがiOSとAndroidのセキュリティを比較
2011/06/29 シマンテックがiOSとAndroidのセキュリティを比較 Macworldによれば、シマンテックがiOSとAndroidのセキュリティを比較し、23ページに及ぶレポート(PDF)を出している。その中身よれば、iOSとAndroidのスマートフォン・プラットフォームはデスクトップOSよりもセキュアではあるが、従来の攻撃の種類によってはまだ影響を受けやすいとの事だ(iOSの方がAndroidよりセキュアとの評価)。ウェブベース、ネットワークの攻撃、ソーシャルエンジニアリングの攻撃、デバイスのデータおよびマルウェアの保全に対する攻撃といった点を評価しており、AppleとGoogleはセキュリティを年頭にオペレーティングシステムを設計しているが、変化する脅威に付いて行くのは難しいとしている。どちらのOSもクラウドやデスクトップコンピュータと連動させているが、これが企業の機密情
我が家の個人情報漏洩問題 - やねうらおブログ(移転しました)
私のおかんが旅行先で撮影した風景を動画にしてYouTubeに投稿しているらしいのだが、「自信作が出来たから見て」と、その動画のURLが書かれたメールが来たのでクリックした。 そうすると、動画のタイトルが「マイムービー」。ここで思わず吹き出した。 そりゃあんたにとってはマイムービーなんだろうけどさ…。 それどころか、その動画の投稿IDをよく見たら、なんとID名が私の実家(おかんの家)の電話番号だった。驚きの余り、眼球破裂するかと思った。 最近、おかんは物忘れがひどくて新しいことを覚えられないとぼやいていたが、YouTubeのID名を覚えておくのが大変だからって、まさか自宅の電話番号をIDにしているとは…。そりゃ忘れないだろうけどさ。 個人情報漏洩とかそんなチャチなもんじゃねぇな…。 きっとパスワードは誕生日だったりするんだろうな…。考えたくもないな。
関西人は相手が間違っていると言う - L'eclat des jours(2011-05-11)
_ 関西人は相手が間違っていると言う IDGのCIO Magazine 5月号の巻頭インタビューがおもしろい。 スルッとKANSAIの取締役インタビューだ。 以前、Felicaの利用について調べていたときに、なぜかPiTaPaは鉄道系で唯一ポストペイだというのを知ってうらやましく思ったからだ。でも、なぜPiTaPaだけがポストペイなのか理由はわからなかった。 その理由が語られていた。 それが、わらしべ長者のようなポジティブな連鎖の塊なのだ。 まず、カード式改札がある。出口でひっかかる人が出てくる。異なる鉄道会社で出ようとすればそれはそうなる。 もし、ここが関東なら、「しまったーおれはばかだー」となるだろう。 関西では違う。「おまえあほちゃうか? なぜおれが出られへん」となる(正確な引用ではないので、関西語として正しいかは知らない)。「おれは客やで、出られて当然やろ」となる。 結果、導入して
IE9 RC マイナーな変更点リスト - 葉っぱ日記
Eric Lawrence さんから、IE9 RC Minor Changes List - EricLaw's IEInternals - Site Home - MSDN Blogs の翻訳の許可をもらったので訳してみました。間違い等あれば教えてください。 遡ること9月に、私はIE9のマイナーな変更点のリスト*1を公開しました。今日は、IE9リリース候補版で変更された点について紹介します。注意:このリストは当時言及しなかったBetaでの変更点もいくつか含んでいます。 もちろん、ここには含まれていない多数の変更点があるので、この記事を完全なリストとは思わないでください。また、IEBlog上で論じられているような大きな機能変更については意図的に飛ばしている点にも注意してください。 過去にこのブログで論じた、IE9の新機能や改善点については BetterInIE9タグを検索することで参照でき
インストールせずにデスクトップアプリが使えるWin向けウェブサービス「Spoon」 | ライフハッカー・ジャパン
Windowsのみ:ライフハッカー人気アーカイブ記事「USBメモリに入れて持ち歩くと超便利なソフト一覧(メモリ容量別セット)」では、USBメモリでのポータブルアプリの「詰め合わせセット」をリスト化していますが、もはや、USBメモリすら持ち歩きが不要になる!? Windows向けのウェブサービス「Spoon」をご紹介しましょう。 「Spoon」は、インストールすることなく、どこででもデスクトップアプリを動かせるというウェブサービス。利用には、プラグインのダウンロードとインストールが必要ですが、これさえやっておけば、数多くの異なるプログラムを、ダウンロード・インストールすることなく使えます。 このサービスでは『TweetDeck』や『Notepad++』、『Thunderbird』といった、メジャーどころのアプリから、『Google Chrome』、『Firefox』、『Opera』といったブ
楽天では脆弱性が見つかるたびに工程全体を見直す
多様な脅威が存在するインターネット環境でビジネスをしている企業にとって、システム面のセキュリティ対策は非常に重要である。当社でも、楽天グループのWebシステムを脅威から守るため、さまざまな対策を積み重ねてきた。中でも重視しているのが、システム開発工程全体で脆弱性を作り込まない体制を築くことである。 現行システムに既知の脆弱性が見つかった場合、開発工程のどこかで対策漏れが生じた、あるいは対策そのものに不備があったことになる。脆弱性を発見したら、それをつぶすだけでなく、開発工程全体の見直しを図る。新たな脆弱性が明らかになった場合も、開発工程全体にフィードバックする。これが当社の目指すセキュリティ開発体制であり、実際にそうしたPDCAサイクルが日々回っている(図10)。
Yahoo! JAPAN
Yahoo! JAPANトップページの機能を正しくご利用いただくには、下記の環境が必要です。パソコンでご利用のお客様 Windows:Internet Explorer 11.0以上 / Chrome 最新版 / Firefox 最新版 / Microsoft Edge macOS:Safari 9.0以上 ※Internet Explorer 11.0以上をご利用の場合は、 「Internet Explorerの互換表示について」を参考に、互換表示の無効化をお試しください。タブレットでご利用のお客様 iOS 9以降、または、Android4.0以降のOSに標準搭載されたブラウザー ※日本国内版として発売されている端末でご利用ください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【速報】 遠隔操作ウイルス作者(自称)がTBSに犯行声明! 「警察・検察をはめてやりたかった」 「捕まった人たちを助けるつもりだった」 : オレ的ゲーム速報@刃
「地方公共団体における脆弱性対策の実態に関する調査」について:IPA 独立行政法人 情報処理推進機構
[みんなのケータイ]spモードでVPNが使えない!?
Engadget | Technology News & Reviews
